Argh!!! SSH
Tomasz Kłoczko
kloczek w rudy.mif.pg.gda.pl
Nie, 13 Maj 2001, 17:25:25 CEST
On Sun, 13 May 2001, Jacek Konieczny wrote:
> On Sun, May 13, 2001 at 03:48:24PM +0200, Tomasz Kłoczko wrote:
> > > To jest IMNSHO bardzo głupi pomysł. Jak niby mam teraz zrobić upgrade
> > > czegokolwiek na maszynie shellowej?
> >
> > No napisałęm, że wystarczy robić to z pod screen-a.
> A jaką dasz mi gwarancje, że ten sshd po restarcie rzeczywiście wstanie?
> Już tak było, że bez poprawienia pliku konfiguracyjnego nie wstawał.
> Będąc zalogowany, mogę, przed wylogowaniem się, wszystko sprawdzić. A
> tak? Muszę jechać ileś kilometrów z monitorem i klawiaturą pod pachą?
>
> Mnie na szczęście to nie dotyczy. Mam awaryjne wejście do serwera po
> konsoli szeregowej z innej maszyny, ale zabijanie sesji przy upgradzie
> jest IMHO niedopuszczalne. Jeśli nie zabicie ich powoduje jakieś
> problemy z bezpieczeństwem należy oinformować administratora --- niech
> on się tym zajmie. Ale nie wolno wylogowywać roota!
>
> No i czy na routerze muszę mieć screena?????
Mniejsza o to. To co wyszło wyszlo przez dpomyłkę (nie było zamierzone).
Zaznaczyłem tylko jednak że zauwazyłem, że tego typu zachowanie (ubijanie
wszystkich sesji) jest w jakiś sposób jest preferowane gdzie indziej i że
może należałoby się zastanowić nad tym dlaczego gdzieś indziej tak
postępują, a nie roztrząsać konsekwencje takiej zmieny podejścia
(konsekwencje są do przewidzenia), bo ewentualna przyczyna zmieny może być
tu ważniejsza (ponad wszystko .. w razie czego). Przyjrzałem się temu
jescze raz i ne znalazłem powodu do zmiany (gdyby inni też temu sie
przyjrzeli wcześniej to z poszłoby na ten temat z połowę mniej listóe :).
Czyli IMHO powrót do poprzedniego zachowania nie jest niczym złym ale
niech też się temu przyjrzą jeszcze inni.
Druga sprawa to jeszcze pewna drobna zmiana postulowana przez Rafała na
potrzeby instalatora. Chodzi o to żeby w %post nie generować kluczy tylko
przy pierwszym użyciu start przy normalnym starcie o ile kluczy jeszcze
nie ma. Możnaby też dodać parametr typu gen_keys do skryptu inicjacyjnego
który byłby wykorzystywany w takiej okolicznosci, a który też mógłby
posłużyc do wygenrowania nowych kluczy o ile ktoś chciałby to w miare
szybko zrobić. Ktoś ma chęć to dokończyć ?
A kwestia używania screena i niebezpieczeństw z tym związanych to druga
sprawa. Zdaje się, że screen standardowo wykorzystuje $TEMPDIR przy
robieniu socketa czyli o ile np. TEMPDIR="~/tmp" to ryzyka tu raczje nie
ma (chyba że chodzi o coć innego ?). Zresta o ile katalog na socket jest
tworzony z 700 to także nic nie powinno przeszkadzać i to nawet przy
TEMPDIR="/tmp" (?).
kloczek
--
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*
Więcej informacji o liście dyskusyjnej pld-devel-pl